移动应用的发展使得信息移动化已经成为政企业务及信息化创新的主旋律,BYOD的节能增效也备受追捧。但是移动应用安全风险依旧!据IDC数据显示,目前在全球范围内有12亿人在外用移动应用办公,有69%的用户表示会用自己的手机去访问公司的网络,且此数量还在不断攀升。移动互联时代,每个人,每一台移动设备都成为互联网的入口,数据安全问题从系统层面逐步走到了移动应用层,入口同时成为信息泄密的出口。移动应用安全风险导致的信息泄密事件频发,带来的经济和名誉损失让移动应用开发类企业对数据保护的态势愈加强烈。
这里是一份2014年企业级移动应用安全风险相关调研的数据分析:
背景
针对移动应用安全提供商的部分客户群,这些移动应用安全提供商涉及了政府、运营商、金融、机械制造业、互联网、教育及医疗等众多领域。
移动办公行业特性
调研结果显示,移动应用办公主要集中在政府、电信运营商、金融及互联网四大行业。
在国家大力推广信息化的政策下,政府对移动信息化保持了更高的执行力度,移动应用信息安全也提升到战略高度,可以说政府不仅是极具开发潜力的移动应用安全市场,也是更为广阔的移动应用安全市场。
金融行业是国家经济战略重要体系,数据重要性毋庸置疑。移动互联网金融对传统金融的冲击促使其新业务增速,移动保单、移动开卡等新业务在给金融单位带来高效收益,同时蕴含的高风险也慢慢暴露出来。
虚拟运营商与传统运营商的竞争格局已经凸显,加之运营商自身的行业优势,对移动应用信息化的安全有着极高要求。运营商内部的OA、移动应用门户及电话会议系统的移动化应用带来数据的高风险;同期运营商的云建设由于移动应用众多,更新频繁,云端出口难以保障,安全问题也愈加复杂。
近几年,移动互联应用和移动电商应用发展迅猛,推动信息消费也成为国家大力推行的重点战略。中国有最大的移动应用商务市场和最多的客户资源,这两个“最”,就决定了中国有最广泛的移动应用商务增值空间。在提高用户移动应用安全体验度的同时,未来无论是隐私还是安全,都是消费者最关注的,如何处置好二者的平衡成为移动应用安全发展重要因素。
移动办公个人情况
据数据统计,绝大多数人有移动办公需求:其中不需要移动办公的人群仅占10.3%,有移动办公需求的人群占89.7%,人数越多所潜伏的移动应用安全泄密风险就越高。针对这种情况,企业必须建立完善的移动应用安全措施,保障员工在移动办公过程中的敏感数据安全。
移动应用系统分布情况
我们针对移动应用办公系统的个人进行统计:移动办公自动化(OA 系统)占有率最高。OA系统一般企业都在应用,企业移动信息化建设也都以OA 建设先行。OA移动化降低了办公人员对个人电脑、办公地点的依赖,提高工作流程流转效率,提高企业的实时响应能力,所以移动应用自动化办公系统的占比最高是合情合理的。移动ERP 系统、移动CRM、移动HR及特殊行业的业务流程系统占比远低于OA系统,但同样影响企业的工作效率和实时响应能力。
移动信息系统的成熟度、安全问题等都是影响移动信息化的关键原因。移动应用安全系统不但是移动信息系统的重要组成,也是制约移动应用系统发展的瓶颈。移动信息系统市场催生了移动信息安全系统市场,大力发展移动信息安全产品,拓展移动信息安全市场将会反过来促进移动信息系统市场的健康发展。
移动信息系统数据在终端的保存状况
对于移动终端在个人使用情况下存放短信、照片等隐私数据,在企业级移动信息系统使用过程中主要保存的数据为邮件、通讯录、信息系统中的文件数据。受访者表示,目前移动网络的使用费用、稳定性、等待时间和展示效果等,都是影响数据需要在本地存放的原因。除了使用者存储的个人数据以外,绝大多数受访者表示,移动终端上同时会存放办公信息系统的过程数据。
六因素致移动办公泄密高风险
据调研结果显示,人们最担心的移动办公泄密高风险点占比集中:有54.9%的人选择“移动设备丢失”;49.7%的人选择“公共wifi”;46.4%的人选择数据未做加密保护,账号密码盗用、恶意APP和手机病毒等紧跟其后。由此了解到移动办公中接入、传输和存储的过程均存在泄密风险,在使用移动设备办公时必须同时确保设备本身和网络环境的安全性。
有很多企业数据(如包含企业重要信息的电子邮件)存储在个人手机上,公共场所设备丢失信息泄密风险增大;诸多公共Wifi天然处在一个开放状态,如果没有加密技术的保护,任何人都可能无障碍地访问到企业数据,因此数据加密传输显得尤为重要;个人设备上往往同时安装很多个人的APP,而个人APP市场恶意软件多如牛毛,这就将企业数据置于安全隐患之中;移动应用缺乏安全机制,数据或者明文存在的存储卡里或越狱的终端上,导致恶意程序可窃取、篡改或盗用的风险;手机病毒和恶意app方面,公网的不安全因素、设备使用场所的不固定都使盗取者可以获得账号、密码,所以账号、密码的安全性也是移动办公中需要注意的泄密风险点。
总结与对策分析
通过数据分析,可以看到企业级移动应用安全存在很大的风险。企业解决移动安全问题刻不容缓。移动办公类APP常见的漏洞及风险有:二次打包、植入恶意代码、资源文件被窃取与篡改风险、账号密码等隐私信息被窃取。针对这些漏洞风险,解决方案可以从dex专业加壳保护、dex专业加花保护、内存防dump保护、资源文件指纹签名保护、防二次打包保护、防调试器保护、高级内存保护、源码优化、SO文件保护。这是移动应用安全行业的第三方平台-爱加密,提出的专门针对移动办公类APP的加密解决方案,详细了解入口:
http://www.ijiami.cn/appprotect_move_office
最后,企业应该尽早完善安全体系建设以支撑移动信息化发展,信息安全制度和移动安全技术体系建设要两手抓两手都要硬。
相关推荐
数据分析也在移动应用安全中发挥重要作用,通过对大量应用的监测,可以发现行业内的安全热点和风险区域,为政策制定和企业决策提供数据支持。 总的来说,移动应用安全新技术不仅涵盖了保护应用免受攻击的技术手段,...
Gartner预计,在2014至2015年期间,移动设备将成为企业安全策略的核心组成部分之一。企业需要更加重视移动设备管理(MDM)解决方案的应用,并且加强对移动应用的安全审查和管控,确保数据的安全性和合规性。 ### 二...
企业信息化安全战略规划是当前企业面临的重要议题,尤其是在数字化转型加速的背景下,新技术的应用带来了新的安全风险。IBM的这份PPT着重介绍了企业如何构建有效的企业信息化安全战略,以应对不断演变的威胁。以下是...
比如,2014年中国计算机报中提到的国外信息安全发展趋势,表明全球范围内,企业正在积极应对新兴威胁,投资于高级威胁检测系统,加强数据隐私保护,并通过法规政策推动信息安全的最佳实践。 总结起来,企业在创新...
2014年,欧洲电信标准协会(ETSI)成立了移动边缘计算规范工作组,推动标准化进程,进一步将边缘计算能力拓展至多接入网络。 工业边缘云平台的核心优势在于其能够处理海量工业数据,实现设备的高效接入和管理。它...
2014年Gartner发布的安全趋势报告揭示了当时面临的主要信息安全挑战,包括移动设备安全、云服务安全、物联网安全以及针对高级持续性威胁的防御策略。这些趋势不仅反映了当时的安全形势,也为后续几年的信息安全管理...
1. 内部应用和移动设备:企业往往忽视了内部应用程序的安全,以及员工使用移动设备和WiFi带来的风险。这些设备可能成为攻击者进入内部网络的通道,而企业往往无法检测到外部威胁流量,更别提已经潜伏在内部的威胁。 ...
报告详细分析了2013年的安全威胁趋势,并预测了2014年的安全威胁,以下是根据报告内容提炼出的关键点: 1. 恶意软件伪装能力增强:在2013年,恶意软件制造者不断提高了他们攻击行为的伪装能力。恶意软件在传播过程...
MyEclipse是一款功能强大的集成开发环境(IDE),主要用于Java企业级应用的开发。它提供了丰富的插件支持,能够帮助开发者高效地进行项目开发、调试和部署。MyEclipse Pro版本则是面向专业开发者的高级版本,包含了...
《Top100网络安全要求白皮书》是华为技术有限公司高级副总裁、全球网络安全官约翰·萨福克在2014年12月发布的一份重要文档,旨在提供网络安全的全面指南。这份白皮书强调了企业在面对日益复杂的安全威胁时,如何构建...
从国内二级市场情况来看,传统医疗设备和信息化厂商(A 股移动医疗主要标的)与 IT 领域科技巨头、移动医疗新兴企业的合作与并购不仅能打开长期业务发展空间,还能在短期内显著提升估值,值得重点关注。 移动医疗...
第九届Future-S中国信息安全与风险管理峰会于2014年举行,主题为“新互联网的安全之思”,聚焦于信息安全在移动互联网时代下的重要性以及如何保护大数据下的个人隐私。 首先,我们来看“移动互联网时代的安全”这一...
RSA大会是全球最大的信息安全会议,2014年的大会可能涵盖了当时的安全热点,例如云计算安全、物联网(IoT)安全以及新兴威胁的应对策略。这份漫读可能会对当年的主旨演讲、技术展示和行业发展趋势进行总结。 3. **看...
中材集团安全生产管理信息化系统方案是由长城计算机软件与系统有限公司在2014年12月提出的,旨在通过信息化手段提升中材集团的安全生产管理水平。随着企业规模的不断扩大和技术的快速发展,传统的安全管理方式已经...
木瓜移动在市场上的领先地位得益于其2012年推出的AppFlood2.0版本,并且在2014年成为谷歌的核心合作伙伴,2016年成为脸书的全球官方授权合作伙伴。此外,木瓜移动还与YouTube、Instagram、Snapchat等顶级视频、社交...
阿里钉钉是一款由阿里巴巴集团...总的来说,阿里钉钉作为一款企业级应用,它的即时通讯、协作和管理工具为企业提供了高效的工作环境,但在使用过程中也需要充分考虑数据安全和隐私保护,合理利用其优势,规避潜在风险。
逻辑编程(如CS50课程)帮助我们掌握如何构建和分析安全系统;基本的IT知识(如Google的IT支持课程)确保了对技术环境的熟悉;而网络安全基础(如Try Hack Me、SEC301、CSCU或Security+学习资料)则直接关注安全实践...
2014年,有10万台冰箱被纳入一个能够发送75万封垃圾邮件的botnet。 总结来说,文档的内容反映了物联网设备当前的安全状况是非常令人担忧的。它展示了黑客利用物联网设备的多种方式,并说明了为什么物联网设备比传统...